1、burp suite简介 。
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具 。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程 。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报 。
喜欢我们文章的朋友请加圈子关注我们,在公众号上输入安界网,就可以关注到我们,领取学习资料,也可以加入我们的qq群251573549
2、burp suite功能介绍
Burp有着多个不同的功能模块来进行检测,大多数的话就是用来抓取http的请求数据包,当然,通过分析http数据包来进行检测是否一方面的漏洞也是很重要 。
1) 、各个功能的模块详解
Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流 。
Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能 。
Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现web 应用程序的安全漏洞 。
Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞 。
Repeater——是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具 。
Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具 。
Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具 。
Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的"差异" 。
文章插图
首先的话,就是抓包,要设置好代理,进入到options里面 。点击add添加一个抓取的代理ip和端口
文章插图
因此浏览器上面也要设置一样的ip和端口,这样才能抓取到http的一些请求包
文章插图
接着就是点击intercet is on开始监听,因为burp的ip和端口和浏览器设置的代理一样,所以burp通过监听去抓取请求网站资源的http数据包
文章插图
我这里的话,拿了dvwa的进行一方面的演示,可以看见我在登录的时候,如果burp的监听功能去抓取了登录请求的一个数据包,然后输入的账号密码也是抓取数据包中的内容一模一样 。
文章插图
2)数据包其它的介绍
host:消息头用于指定出现在被访问的完整url中的主机名称
user-agent:这个消息头提供与浏览器或生产请求的,其他客户端软件有关的信息
accept:这个消息头用于告诉服务器客户端愿意接受哪些内容,如图像类型,办公文档格式等
accept-language:用于生命服务器浏览器可以支持,什么语言
accept-encoding:这个消息头用于告诉服务器,客户端愿意接受哪些内容编码
referer:这个消息头用于指示提出当前请求的原始url
cookie:提交此前服务器向客户端发送的其他参数(服务器使用set-cookie消息头来设置cookie一般用于身份验证)
Drop的意思就是将抓取的数据包给丢弃掉
文章插图
Forward的意思就是将抓取的数据包给放掉,那么网页那边也会进行一方面的继续请求 。
文章插图
2)burp的功能初始化
比如说 。我们在哪个模块 。不小心乱设置了 。或者说乱搞了 。我们可以在这里重新我们乱搞的那个模块,重置就跟一开始的一模一样 。所以我们在乱搞的情况下,我们可以这样重置功能 。也就是模块的初始化功能。
文章插图
all什么意思呢?可以理解为全部的意思,就是把全部模块重置 。这就是初始化功能
文章插图
【利器burpsuit,你真的了解黑客是怎么用的嘛?】
推荐阅读
- Android 保活措施你会了吗?
- php代码怎么热更新,用实战操作教你,快收藏吧
- 这些坏习惯会伤害你的WordPress网站
- 想让百度100%收录你的页面?那就进来看看
- 护肤品|爱长痘、有闭口的女生,这些“护肤技巧”请收好,还你白嫩水光肌
- 生态茶乡转塘街道精彩茶事等你来
- 6个超级无聊的网站 上网无聊是因为你没看过这些网站
- 一觉醒来颈椎不舒服?专家告诉你,选对枕头很重要
- 想快速了解一款电瓶,你要先学会看懂它的“身份证号”
- 大白菜上长了很多“小黑点”是什么?还要不要吃?告诉你正确做法